
    <!DOCTYPE html>
    <html lang="zh-CN">
    <head>
      <meta charset="UTF-8">
      <meta name="viewport" content="width=device-width, initial-scale=1.0">
      <title>ES的安全机制有哪些？如何实现认证、授权和数据加密？ - 学习卡片</title>
      <style>
        body { font-family: sans-serif; background-color: #f0f8ff; color: #333; display: flex; flex-direction: column; align-items: center; padding: 50px 20px; }
        .header h1 { font-size: 32px; }
        .grid-container { display: grid; grid-template-columns: repeat(3, 1fr); gap: 28px; width: 100%; max-width: 1200px; }
        .card-container { perspective: 1200px; cursor: pointer; height: 250px; }
        .card { width: 100%; height: 100%; position: relative; transform-style: preserve-3d; transition: transform 0.7s; border-radius: 16px; box-shadow: 0 4px 16px rgba(0,0,0,0.08); }
        .card-container.flipped .card { transform: rotateY(180deg); }
        .card-face { position: absolute; width: 100%; height: 100%; backface-visibility: hidden; display: flex; flex-direction: column; box-sizing: border-box; border-radius: 16px; background-color: #fff; padding: 24px; }
        .card-back { background-color: #f0fff4; transform: rotateY(180deg); justify-content: space-between; }
        .card-category { font-size: 14px; color: #0052d9; margin-bottom: 8px; font-weight: 500; }
        .card-question { font-size: 20px; font-weight: 500; flex-grow: 1; display: flex; align-items: center; justify-content: center; text-align: center; }
        .card-answer-wrapper { flex-grow: 1; overflow-y: auto; }
        .card-answer { font-size: 15px; line-height: 1.7; }
        .card-footer { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 16px; margin-top: 16px; }
        .card-source { font-size: 13px; color: #8a919f; border-top: 1px solid #f0f0f0; padding-top: 12px; margin-top: 12px; }
      </style>
    </head>
    <body>
      <div class="header">
        <h1>ES的安全机制有哪些？如何实现认证、授权和数据加密？ - 学习卡片</h1>
      </div>
      <div class="grid-container">
        
    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">理论</div>
          <div class="card-question">Elasticsearch 的安全机制由哪三个核心部分组成？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">理论</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">Elasticsearch 的安全机制包括认证（Authentication）、授权（Authorization）和数据加密（Data Encryption）三个主要方面。</div>
          </div>
          <div class="card-source">来源: 文档开篇段落</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">特性</div>
          <div class="card-question">文档中提到了哪四种 Elasticsearch 支持的用户认证方式？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">特性</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">文档中提及了四种认证方式：1. 基于用户名和密码的基本认证；2. LDAP/Active Directory 认证；3. SAML 认证；4. OAuth 2.0 认证。</div>
          </div>
          <div class="card-source">来源: 1. 认证（Authentication）</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">机制</div>
          <div class="card-question">Elasticsearch 如何实现对特定文档的访问控制，而非整个索引？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">机制</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">Elasticsearch 通过“基于文档的权限控制”来实现。在定义角色时，可以为索引权限附加一个查询（query），这样用户就只能访问或操作符合该查询条件的文档。</div>
          </div>
          <div class="card-source">来源: 2.3. 基于文档的权限控制</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">“数据加密 at Rest”和“数据加密 in Transit”在 Elasticsearch 中分别指什么？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">“加密 at Rest”指的是在磁盘上对数据进行加密，以防止未经授权的物理访问。“加密 in Transit”指的是通过 TLS/SSL 加密网络流量，以确保数据在节点间传输过程中的安全性。</div>
          </div>
          <div class="card-source">来源: 3.1. 数据加密 at Rest 和 3.2. 数据加密 in Transit</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">模式</div>
          <div class="card-question">在企业环境中，如果希望利用现有的用户目录进行 Elasticsearch 认证，应该采用哪种认证方式？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">模式</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">应该采用 LDAP/Active Directory 认证方式。通过集成 LDAP 或 Active Directory 服务，可以将公司现有的用户目录与 Elasticsearch 集成，实现集中管理的认证。</div>
          </div>
          <div class="card-source">来源: 1.2. LDAP/Active Directory 认证</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">机制</div>
          <div class="card-question">在 Elasticsearch 授权中，内置角色和自定义角色有何区别？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">机制</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">内置角色（如 `superuser`, `kibana_user`）是 Elasticsearch 预先定义好并具有固定权限的角色。而自定义角色允许用户根据具体需求，灵活地为角色分配特定的集群权限和索引权限。</div>
          </div>
          <div class="card-source">来源: 2.1. 内置角色 和 2.2. 自定义角色</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">SAML 认证主要用于解决什么问题，适用于哪种场景？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">SAML（Security Assertion Markup Language）是一种用于单点登录（SSO）的标准协议，主要适用于需要与企业身份管理系统集成的场景。</div>
          </div>
          <div class="card-source">来源: 1.3. SAML 认证</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">特性</div>
          <div class="card-question">为了提高数据加密的安全性，Elasticsearch 在密钥管理方面推荐了什么做法？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">特性</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">推荐使用外部的密钥管理服务（KMS），例如 HashiCorp Vault 或 AWS KMS，来管理加密密钥，以增强密钥管理的安全性。</div>
          </div>
          <div class="card-source">来源: 3.3. 数据加密和解密的密钥管理</div>
        </div>
      </div>
    </div>

    <div class="card-container" onclick="this.classList.toggle('flipped');">
      <div class="card">
        <div class="card-face card-front">
          <div class="card-category">技术</div>
          <div class="card-question">“数据加密 in Transit”在 Elasticsearch 中是如何配置实现的？</div>
          <div class="card-footer">点击卡片查看答案</div>
        </div>
        <div class="card-face card-back">
          <div class="card-category">技术</div>
          <div class="card-answer-wrapper">
            <div class="card-answer">通过在 `xpack.security.transport.ssl` 配置项下启用 SSL (`enabled: true`)，并提供密钥 (`key`)、证书 (`certificate`) 和证书颁发机构 (`certificate_authorities`) 的路径来实现。</div>
          </div>
          <div class="card-source">来源: 3.2. 数据加密 in Transit</div>
        </div>
      </div>
    </div>

      </div>
    </body>
    </html>
